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z dnia 6 lutego 2018 r. 


Pełny zapis przebiegu posiedzenia 


Komisji Samorządu Terytorialnego i Polityki Regionalnej 


(nr 189) 


6 lutego 2018 r. 


Komisja Samorządu Terytorialnego i Polityki Regionalnej, obradująca pod prze- 
wodnictwem posła Andrzeja Maciejewskiego (Kukiz15), przewodniczącego 
Komisji, zapoznała się z: 


— informacją na temat Rozporządzenia Parlamentu Europejskiego i Rady 
(UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych 
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego 
przepływu takich danych, w szczególności wynikających z niego konse- 
kwencji dla jednostek samorządu terytorialnego. 


W posiedzeniu udział wzięli: Mirosław Sanek zastępca generalnego inspektora ochrony danych oso- 
bowych wraz ze współpracownikami, Maciej Kawecki dyrektor Departamentu Zarządzania Danymi 
Ministerstwa Cyfryzacji wraz ze współpracownikami, Paweł Zatryb dyrektor Departamentu Bezpie- 
czeństwa Ministerstwa Spraw Wewnętrznych i Administracji wraz ze współpracownikami, Monika 
Małowiecka ekspert Związku Powiatów Polskich. 


W posiedzeniu udział wzięli pracownicy Kancelarii Sejmu: Sławomir Jakubczak, Dariusz Myrcha 
— z sekretariatu Komisji w Biurze Komisji Sejmowych. 


Przewodniczący poseł Andrzej Maciejewski (Kukiz15): 


Dzień dobry. Otwieram posiedzenie Komisji Samorządu Terytorialnego i Polityki Regio- 
nalnej. Na podstawie listy obecności stwierdzam kworum. 

Na naszym dzisiejszym posiedzeniu pragnę przywitać pana ministra Mirosława 
Sanka — zastępcę generalnego inspektora ochrony danych osobowych, oraz pan dyrek- 
tora Piotra Drobka. Witam przedstawicieli Ministerstwa Cyfryzacji: pana dyrektora 
Macieja Kaweckiego. Witam przedstawicieli MSWiA na czele z panem dyrektorem Paw- 
łem Zatrybem. Witam przedstawicieli organizacji pozarządowych. Witam panie i panów 
posłów. 

Porządek dzienny, proszę państwa, przewiduje dzisiaj jeden punkt — rozpatrzenie 
informacji na temat Rozporządzenia Parlamentu Europejskiego i Rady Unii Europej- 
skiej 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku 
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, 
w szczególności... Jeśli nie usłyszę sprzeciwu, stwierdzę przyjęcie porządku dziennego. 
Sprzeciwu nie słyszę. 

Przechodzimy zatem do realizacji naszego porządku. Proszę o zabranie głosu pana 
ministra Mirosława Sanka. Proszę bardzo, panie ministrze. 


Zastępca generalnego inspektora ochrony danych osobowych Mirosław Sanek: 


m.S.S. 


Szanowny panie przewodniczący, szanowni państwo posłanki i posłowie, goście Komisji, 
serdecznie dziękuję za zaproszenie na posiedzenie Komisji. Bardzo dziękuję za zainte- 
resowanie tym tematem. To jest jeden z najszerszych tematów, jaki można rozpatrywać 
w takim trybie, więc tym bardziej dziękuję za zainteresowanie, chociaż jego rozległość 
i waga jest - mam wrażenie — odwrotnie proporcjonalna do powszechnego zaintereso- 
wania oraz powszechnej wiedzy na temat regulacji, które nas czekają. Proszę państwa, 
zagadnienie ochrony danych osobowych na terenie państw członkowskich Unii Euro- 
pejskiej ma swoją już dosyć rozległą historię. Dosyć istotną dyrektywą była dyrektywa 
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z 1995 r., natomiast już wcześniej, dużo wcześniej powstawały niezależne organy nad- 
zorcze nadzorujące tę dziedzinę życia. Jeżeli dobrze pamiętam, pierwszy tego typu organ 
powstał w Hesji w roku 1970, dzięki czemu wkrótce będziemy mogli mówić o półwieczu 
instytucjonalnej ochrony. W Polsce w tym roku obchodzimy 20-lecie istnienia General- 
nego Inspektora Ochrony Danych Osobowych. Stąd też z jednej strony mamy się na czym 
opierać — na swoich doświadczeniach i historii. Tym bardziej również możemy pozwolić 
sobie na bazie tego typu instytucji na rozpatrywanie tego, co nas czeka w przyszłości. 
A czeka nas niewątpliwie bardzo duża zmiana, bardzo rozległa ewolucja, które jednak 
nie jest rewolucją, bo cele są takie same. Właściwie zmieniamy środki, które służą tym 
samym celom. 

Proszę państwa, w 2016 r. w kwietniu opublikowano w dzienniku ustaw Unii Euro- 
pejskiej rozporządzenie o ochronie osób fizycznych w związku z przetwarzaniem danych 
osobowych i ich swobodnym przepływem. Ustalono, że wejdzie ono w życie miesiąc 
później, natomiast znajdzie bezpośrednie zastosowanie od 2018 r. Dokładnie ustalono 
tę datę na 25 maja. Jeżeli więc dobrze liczę — oczywiście policzył to w moim imieniu ktoś 
inny — przed nami tylko 107 dni, zanim nastąpi to istotne wydarzenie. Osobnym doku- 
mentem, o którym tutaj nadmienię, bo nadmienić warto, jest tzw. dyrektywa policyjna, 
która wymaga implementacji, jeżeli dobrze pamiętam, do 5 maja tego roku. Dotyczy ona 
ochrony danych osób podejrzanych o popełnienie przestępstw, ofiar, świadków w celu 
oczywiście ich ochrony, a także w celu ułatwienia działania odpowiednich służb. Proszę 
państwa, powiedziałem, że dyrektywa policyjna wymaga implementacji. Rozporządzenie 
ogólne jako źródło prawa wtórnego Unii Europejskiej oczywiście takiej drogi nie wymaga: 
nie wymaga implementowania, nie wymaga legislacyjnych czynności, które mają na celu 
ustalenie tych warunków w krajach członkowskich. Istotą tego źródła prawa jest wła- 
śnie ujednolicenie regulacji w danym zakresie we wszystkich państwach członkowskich. 
Oczywiście istnieją pewne możliwości adaptacyjne, natomiast są one ściśle określone 
w rozporządzeniu. 

Jak mówię, 25 maja tego roku ogólne rozporządzenie będzie miało zastosowanie bez- 
pośrednie do wszystkich podmiotów. Nie będzie wymagało uchwalenia ustawy w tym 
zakresie. Wszelkie ustawowe ograniczenia ewentualne komplikacje i niezgodności będą 
rozstrzygane na rzecz rozporządzenia ogólnego. 

Proszę państwa, na początku mówiłem o celach, że one się nie zmieniły, i o środkach, 
które dostosowują się do rzeczywistości. Mówiąc o celach, oczywiście mówimy o prawie 
podstawowym jednostek. Cele pośrednie tak naprawdę dla tej wielkiej ujednolicającej 
regulacji to usunięcie niepewności prawnej, zwłaszcza w obrocie między krajami człon- 
kowskimi. Dotychczas państwa członkowskie miały różne regulacje, bo różnie mogły 
implementować dyrektywę z 1995 r. Stąd też dla obrotu nie było jasne i wymagało dodat- 
kowego wysiłku, aby tego typu odrębności poznać. Koszty związane z takimi odrębno- 
ściami na 2012 r. — zdaje się — były szacowane minimalnie na 3 mld euro dla wszystkich 
uczestników obrotu w Unii Europejskiej. Jasne jest, że dyrektywa z 1995 r. nie dotykała 
takich kwestii, jakie są w tej chwili i jakie na naszych oczach rozwijają się, jeśli chodzi 
o społeczeństwo cyfrowe, komunikację cyfrową, geolokalizację, posługiwanie się danymi 
biometrycznymi, dostęp do danych genetycznych itd., chociażby tak oczywista sprawa, 
jak portale społecznościowe. To jest kolejna sfera, która właściwie uciekała od tej regu- 
lacji. Stąd też konieczność jej uwspółcześnienia, czegoś w rodzaju pościgu technologicz- 
nego za zmieniającą się w tej sferze rzeczywistością. 

Kwestią również bardzo istotną, która legła u podstaw tej regulacji, jest to, co cza- 
sami nam umyka, kiedy publicznie rozpatrujemy kwestię RODO. Tak naprawdę RODO 
czasami bywa kompletnie niezgodnie z rzeczywistością przedstawiane jako regulacja 
niezgodnie z intencjami, ale jednak skutkująca utrudnieniami dla małych i średnich 
przedsiębiorstw oraz przedsiębiorczości w ogóle. Tymczasem jednym z wyraźnie wska- 
zanych celów tej regulacji jest podniesienie zaufania do usług świadczonych w tym try- 
bie — powiedzmy — w trybie cyfrowym i pewności usług w zakresie gospodarki cyfrowej. 
Dane statystyczne dotyczące samopoczucia w tym zakresie są jednoznaczne. Posługuję 
się danymi bodajże z 2012 r. z terenu wszystkich krajów członkowskich Unii Europej- 
skiej. 89% badanych opowiedziało się za jednakową ujednoliconą dla wszystkich krajów 


m.S.S. 


m.S.S. 


PEŁNY ZAPIS PRZEBIEGU POSIEDZENIA: 
KOMISJI SAMORZĄDU TERYTORIALNEGO I POLITYKI REGIONALNEJ (NR 189) 


członkowskich ochroną praw. Mniej, 33% Europejczyków wykazało się zaufaniem wobec 
operatorów sieci telefonicznej i dostawców Internetu. Ponad 75% Europejczyków przy- 
znało się do braku zaufania względem firm internetowych takich jak dostawcy wyszu- 
kiwarek i portali społecznościowych. Połowa europejskich internautów obawiała się, 
że stanie się ofiarą oszustwa polegającego na niewłaściwym wykorzystaniu ich danych. 
Tylko 15% miało poczucie, że mają oni pełną kontrolę nad danymi, które ujawniają 
online, natomiast mniej niż jedna na trzy osoby uważała, że zupełnie nie posiada kon- 
troli nad swoimi danymi. Tendencje tych badań są jednoznaczne. Myślę, że one nas nie 
szokują, bo poniekąd pokrywają się z naszymi intuicjami. Realna ochrona danych osobo- 
wych pozwoli także uczestnikom gospodarki cyfrowej na większą skuteczność, ponieważ 
będzie ona bazować na — mam nadzieję — większej dozie zaufania ich klientów. 

Proszę państwa, zanim przejdę do kwestii dotyczących jednostek samorządu teryto- 
rialnego, pokrótce wymienię niektóre korzyści, które adresowane są do osób fizycznych 
— korzyści wynikające z RODO. Na pewno wszyscy słyszeliśmy o prawie do zapomnienia. 
Jest to uprawnienie do wystosowania żądania do usunięcia danych, o ile oczywiście nie 
ma innych podstaw prawnych do przetwarzania takich danych pomimo braku albo cof- 
nięcia zgody. Generalnie założeniem tej regulacji jest także to, żeby osoby fizyczne miały 
łatwiejszy dostęp do tego, co — mówiąc potocznie — dzieje się z ich danymi. Jeżeli już wyra- 
żono zgodę na ich przetwarzanie, to dobrze jest wiedzieć, kto się tym zajmuje, czemu 
one posłużą i jak długo to będzie trwało. Obowiązkowe staje się informowanie o wystą- 
pieniu naruszenia przepisów o ochronie danych osobowych. Informacja ta ma trafić 
do organu nadzorującego, a także co do zasady do osób, które mogą być pokrzywdzone 
w tym zakresie. Bardzo istotny także — przechodząc już do bardziej praktycznego ujęcia 
tego zagadnienia — jest mechanizm, który wymusza na administratorach projektowanie 
ochrony danych osobowych już na etapie wdrażania jakiegoś projektu, np. usługi elek- 
tronicznej. 

Równie istotna w aksjologii tego dokumentu jest dbałość o prawa dziecka, o ochronę 
dzieci — uczestników głównie świata cyfrowego. Dzisiaj mamy bodajże Dzień Bezpie- 
czeństwa w Internecie, więc warto o tym powiedzieć. Autor rozporządzenia proponuje 
próg 16 lat, powyżej którego uczestnik może, nie musi już... nie jest wymagana zgoda 
opiekuna prawnego, rodzica wykonującego władztwo rodzicielskie. Jest możliwość obni- 
żenia tego progu maksymalnie czy raczej minimalnie do 13. roku życia, natomiast jed- 
noznaczne stanowisko Generalnego Inspektora Danych Osobowych jest takie, że prawo 
dziecka jest tutaj istotniejsze. Prawo ochrony danych nie jest prawem absolutnym jak 
żadne z praw — z wyjątkiem jednego — podstawowych. Kolizja więc tych praw powinna 
być rozstrzygana na rzecz ochrony prawa dzieci. 

Innym zagadnieniem bardzo dobrze znanym — chyba niestety — jest wzmocnienie 
egzekucji, a więc to, co się potocznie nazywa możliwością kary. Wcześniej faktycznie 
generalny inspektor i inne organy nadzorujące nie miały takiego uprawnienia orzekania 
o administracyjnych karach finansowych. Teraz tego typu instrument będzie w posiada- 
niu organów nadzorujących. Tak jak mówiłem, jest to zagadnienie, które mocno ożywia 
dyskusję czy wiedzę wokół tego aktu prawnego. Wydaje mi się, że to ożywianie jest nie 
do końca potrzebne. Tak naprawdę istotą są właśnie nadrzędne cele tej regulacji, o któ- 
rych już mówiłem. Natomiast niewątpliwie aspekt potencjalnych kar jest perspektywą, 
która bardziej porządkuje przygotowania do wejścia w życie tego aktu. 

Co jednostki samorządu terytorialnego powinny uwzględniać w perspektywie dnia 
25 maja, a właściwie w czasie do tego momentu? Niewątpliwie niech czują się zobowią- 
zane do wszystkich regulacji przewidzianych w omawianym rozporządzeniu. Odpowie- 
dzialność za realizację obowiązków przewidzianych w rozporządzeniu ogólnym spadnie 
na organy wykonawcze jednostek samorządu terytorialnego: wójta, burmistrza, prezy- 
denta. Istotną zmianą jest oparcie ochrony danych bądź przetwarzania danych osobo- 
wych na ryzyku administratora danych osobowych. To on będzie musiał zrobić wszystko, 
zeby spełnić wymagania dotyczące kwestii technicznych, organizacyjnych i merytorycz- 
nych wynikających z RODO a także ze wskazówek organu nadzorującego. Mówiłem 
już o konieczności przewidywania w projektowaniu nowych rozwiązań — powiedzmy 
— w zakresie architektury ochrony danych osobowych. 
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Istotne także jest to, aby czas do wejścia w życie rozporządzenia czy rozpoczęcia skut- 
kowania tego aktu jednostki samorządu terytorialnego i administratorzy danych osobo- 
wych przeznaczyli na weryfikację i przegląd tego, co się u nich dzieje z przetwarzaniem 
danych osobowych, czy dotychczas jest to poprawne, czy już teraz należy wprowadzać 
zmiany. Do tego na pewno przyda się stosowanie kodeksu postępowań dla jednostek 
samorządu terytorialnego. Niektóre branże wymagają takiego uźródłowienia. RODO nie 
jest oczywiście dokumentem w 100% literalnie wyczerpującym. Posługiwanie się takimi 
kodeksami postępowania z pewnością ułatwi ocenę rzetelności i legalności przetwa- 
rzania danych osobowych. Jeżeli mówimy o karach, to także z całą pewnością wpłynie 
na złagodzenie potencjalnych kar. Z pewnością jednostkom samorządu terytorialnego 
służyć będą inspektorzy ochrony danych. Są to podmioty, jeśli chodzi o kompetencje, 
określone podobnie jak ABI do tej pory, których jednym z naczelnych obowiązków oprócz 
przestrzegania poprawności przetwarzania danych osobowych będzie ścisły kontakt 
z GIODO. 

Kończąc juz ten wstęp, GIODO z kolei niewątpliwie widzi szansę i obowiązek Sci- 
słej permanentnej współpracy z administratorami danych osobowych. Bez kondensa- 
cji i kumulacji wiedzy w tym zakresie ta bardzo słuszna, jeżeli chodzi o cele, regulacja 
będzie niedostatecznie skuteczna. Zapraszam państwa do zadawania pytań i do rozsze- 
rzenia tej tematyki. Bardzo dziękuję, panie przewodniczący. 


Przewodniczący poseł Andrzej Maciejewski (Kukiz15): 
Dziękuję, panie ministrze. Zanim przejdziemy do pytań, zapytam, czy przedstawiciel 
Ministerstwa Cyfryzacji chciałby zabrać głos. Bardzo proszę. 


Dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji Maciej Kawecki: 
Bardzo dziękuję. Panie przewodniczący, szanowni państwo, chciałbym tylko krótko przed- 
stawić państwu harmonogram naszych prac legislacyjnych i powiedzieć, jak wygląda 
wdrażanie reformy w ramach rządu. Sama reforma składa się z dwóch aktów praw- 
nych na poziomie unijnym, tj. z tzw. RODO, czyli z rozporządzenia unijnego o ochronie 
danych osobowych oraz z dyrektywy policyjnej. Za implementowanie dyrektywy policyj- 
nej, tak jak pan inspektor tu powiedział, odpowiada Ministerstwo Spraw Wewnętrznych 
i Administracji, natomiast za wdrożenie, czyli za zapewnienie skutecznego stosowania 
w polskiej przestrzeni prawnej rozporządzenia, o którym tutaj w większości była mowa, 
odpowiada Minister Cyfryzacji. My jesteśmy na etapie Komitetu do Spraw Europejskich. 
Postaramy się w piątek, najpóźniej w poniedziałek skierować projekt ustawy o ochronie 
danych osobowych na Komitet do Spraw Europejskich. Chcielibyśmy, żeby projekt był 
przyjęty na posiedzeniu Rady Ministrów do końca kwietnia, tak żeby w maju mógł tra- 
fić na obrady komisji sejmowych. Terminem, którym jesteśmy związani, wynikającym 
z prawa unijnego jest 25 maja 2018 r. i do 25 maja rozporządzenie musimy wdrożyć. 

Nasze działania w Ministerstwie Cyfryzacji podzieliłbym na dwie części. Pierwsza 
to jest tworzony projekt ustawy o ochronie danych osobowych, która zapewnia stosowa- 
nie rozporządzenia w polskiej przestrzeni prawnej. Jest to więc ustawa, która przewi- 
duje przepisy ustrojowe, a więc ustanowienie organu nadzorczego w Polsce. Ponieważ 
uchylona zostanie obecnie obowiązująca ustawa, takie przepisy muszą zostać przyjęte. 
Oprócz tego mechanizmy certyfikacji, postępowania w sprawach naruszeń, ponieważ 
w Unii Europejskiej obowiązuje zasada autonomii instytucjonalnej oraz procedural- 
nej państw członkowskich. Procedury więc są przyjmowane przez polski parlament. 
Natomiast takim drugim obszarem działań podejmowanych w Ministerstwie Cyfryzacji 
jest zmiana przepisów sektorowych, ponieważ, jeżeli uchylamy obowiązująca ustawę, 
to musimy dokonać zmiany ogromnej liczby ustaw, począwszy od zmian czysto tech- 
nicznych, polegających choćby na zmianie nazwy ustawy czy na zmianie nazwy organu, 
bo wizją rządu jest powołanie nowego organu nadzorczego — prezesa Urzędu Ochrony 
Danych Osobowych, który zastąpi generalnego inspektora z zachowaniem oczywiście 
kadencji generalnego inspektora i całej ciągłości kadrowej. Niemniej jednak uchylamy 
ustrojową ustawę, więc powstanie nowy organ państwowy. 

Natomiast ta druga część to są zmiany merytoryczne, które musimy wprowadzić 
do ustaw sektorowych, które mają różny charakter. Czasami są to zmiany, które muszą 
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być po prostu przyjęte, bo legislacja ma 20 lat i jest nieaktualna, więc Minister Cyfryza- 
cji wspólnie z innymi resortami zdecydował się na zmianę, jak Prawo bankowe, Prawo 
ubezpieczeniowe, Kodeks pracy, a czasami są to przepisy ograniczające zastosowanie 
rozporządzenia do określonych obszarów oczywiście w zakresie, w jakim rozporządzenie 
dopuszcza takie ograniczenie. Jako przykład można podać np. ustawę o IPN czy funk- 
cjonowanie Naczelnej Dyrekcji Archiwów Państwowych, gdzie oczywistym jest, że zre- 
alizowanie prawa do bycia zapomnianym czy żądanie usunięcia danych w wielu obsza- 
rach nie jest możliwe. I bardzo duży pakiet zmian legislacyjnych w zakresie wymiaru 
sprawiedliwości, ponieważ rozporządzenie nakłada na państwa członkowskie obowiązek 
wyodrębnienia odrębnego pionu nadzoru nad ochroną prywatności sprawowaną przez 
sądy. Nie może tego robić Generalny Inspektor Ochrony Danych Osobowych czy pre- 
zes Urzędu Ochrony Danych Osobowych, więc przepisy rzeczywiście dokonują zmian 
w ustawie o ustroju sadów powszechnych, o Sądzie Najwyższym, wyodrębniając czy two- 
rząc taki pion nadzoru nad przetwarzaniem danych przez sądy. 

Tak naprawdę więc jest to ogromny pakiet zmian. Podeszliśmy do tego dwutorowo. 
To znaczy, w momencie, w którym na komitety trafi projekt ustawy o ochronie danych 
osobowych, będziemy przygotowywali ten pakiet przepisów sektorowych z takim zastrze- 
zeniem, że wkłady od właściwych resortów do tej ustawy otrzymaliśmy parę miesięcy 
temu. Parę dni temu każdy z ministrów otrzymał od Ministra Cyfryzacji, a w zasadzie 
od premiera — Prezesa Rady Ministrów, prośbę o odniesienie się do uwag zgłaszanych 
w toku uzgodnień międzyresortowych i konsultacji społecznych, więc również chcieliby- 
śmy, żeby zaraz po tym, jak na Komitet do Spraw Europejskich trafi projekt ustawy, ten 
pakiet liczący w chwili obecnej ok. 140 ustaw, pakiet zmieniający ok. 140 ustaw, trafił 
na posiedzenia komitetów. 

Od samego początku działań podejmowanych w Ministerstwie Cyfryzacji rzeczywi- 
ście przyświecała nam taka pełna transparentność procesu legislacyjnego. W związku 
z tym organizowaliśmy bardzo wiele spotkań w Ministerstwie Cyfryzacji. W sali kolum- 
nowej w Sejmie kilka tygodni temu odbyła się konferencja podsumowująca konsultacje 
społeczne przepisów ustawy o ochronie danych osobowych, gdzie przez 9 godzin odpo- 
wiadaliśmy na pytania obywateli, organizacji społecznych i organizacji pozarządowych. 
Jednocześnie jesteśmy już po konferencji uzgodnieniowej. Mamy bardzo małą liczbę roz- 
bieżności w projekcie ustawy pomiędzy resortami, więc wierzę, że ten projekt ustawy 
o ochronie danych osobowych dość szybko przebrnie przez rząd tak, żeby rzeczywiście 
mógł stanąć na posiedzeniu Rady Ministrów. 

Jeżeli są jakieś pytania, to oczywiście jestem do dyspozycji. Dziękuję bardzo. 


Przewodniczący poseł Andrzej Maciejewski (Kukiz15): 


m.S.S. 


Dziękuję. Czy przedstawiciel MSWiA chciałby zabrać głos? Dziękuję. 

Otwieram dyskusję. Pozwólcie państwo, że zadam pierwsze pytanie panu mini- 
strowi. Mam pewien niedosyt. O RODO dużo czytałem, dużo słyszałem i zastanawiam 
się, w czym clou problemu. Kara? Właściwie ciągle mi brakuje i mam wątpliwości, jakie 
są istotne punkty, jakie są istotne elementy, które muszą spełnić JST w ramach RODO 
do 25 maja. Gdzie są te słabe strony? Czy jest jakiś pilotaż, jakaś kontrola albo nadzór 
nad tym, jak to jest realizowane i gdzie są te najważniejsze kwestie? 

I drugie pytanie. Mamy rok wyborczy. Ochrona danych osobowych. Dobrze, jeśli cho- 
dzi o urzędy, to temat jest chyba najbardziej opanowany, ale przecież komitety wyborcze 
zbierają podpisy. I teraz pytanie: Jak RODO będzie się miało do tych zwykłych podpisów 
zbieranych przez poszczególne komitety lokalne i jak RODO będzie tutaj oddziaływało? 
Czy pełnomocnik czy osoba, która zajmuje się wyborami, w ramach danego komitetu 
do rady miasta, gminy, powiatu, do sejmiku, będzie miała jakieś specjalne zobowiąza- 
nia albo kompetencje? To przecież jest bardzo ważna sprawa dzisiaj w tym roku. Może 
się okazać, że wiele osób może mieć bardzo przypadkowo problemy, a może nie. Prosił- 
bym tutaj o wyjaśnienie, bo myślę, że wszyscy są tym zainteresowani. Jeśli mogę prosić 
o odpowiedź... 


Petny ZAPIS PRZEBIEGU POSIEDZENIA: 
KOMISJI SAMORZĄDU TERYTORIALNEGO | POLITYKI REGIONALNEJ (NR 189) 


Zastępca generalnego inspektora ochrony danych osobowych Mirosław Sanek: 
Bardzo dziękuję, panie przewodniczący, za to pytanie. GIODO przygotował poradnik dla 
komitetów wyborczych, więc może oddam głos panu dyrektorowi w sprawie szczegółów. 


Zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej 

GIODO Piotr Drobek: 
Dziękuję. Dzień dobry. Dziękuję bardzo, panie przewodniczący. Jeżeli chodzi o drugie 
pytanie, to chcę zwrócić uwagę, że problem działania komitetów wyborczych nie jest 
problemem nowym. Z tej perspektywy pewne rozwiązania, które funkcjonowały dotąd, 
również będą funkcjonowały na gruncie ogólnego rozporządzenia. Kluczową tutaj regu- 
lacją są przepisy dotyczące przeprowadzania wyborów — Kodeks wyborczy i to, co się 
w nim znajduje. Wychodząc naprzeciw wątpliwościom, bo to jest rzeczywiście problem 
szczególnie w przypadku wyborów samorządowych, gdzie często mówimy o małych 
komitetach, przed poprzednimi wyborami (już kolejnymi) przygotowaliśmy poradnik 
dla komitetów wyborczych. Teraz przed najbliższymi wyborami, kiedy będziemy już 
w tym toku, że komitety będą się konstytuowały, również mogę w imieniu pana ministra 
i pani minister Bielak-Jomaa zadeklarować, że taki poradnik będzie właśnie w kontek- 
ście RODO, jak to się ma w kontekście obowiązków komitetów. 

Warto przypomnieć, że te obowiązki ciążyły na komitetach, o czym już teraz... Oczy- 
wiście to nie jest nic strasznego, bo też musimy trochę zdemitologizować ochronę danych 
osobowych. To nie są jakieś obowiązki, które są niemożliwe do realizacji. W odniesieniu 
do funkcjonowania komitetów wyborczych to są przede wszystkim obowiązki związane 
z legalnością i celowością, ale o tym, co jest legalne i czy te dane możemy wykorzysty- 
wać, rozstrzyga Prawo wyborcze. Jeżeli mieścimy się w tych ramach, to z perspektywy 
legalności zachowujemy zgodność z obecnymi przepisami o ochronie danych osobowych 
oraz w przyszłości z RODO. Odrębnym zagadnieniem jest konieczność zabezpieczenia 
danych przed wypłynięciem danych, przed dostępem osób nieuprawnionych. Teraz ten 
obowiązek również istnieje. Zmieni się jednak sposób realizacji tego obowiązku na grun- 
cie RODO. 

I w ten sposób chciałbym przejść do pierwszego pytania. Proszę państwa, z ogólnym 
rozporządzeniem problem polega na tym, że to ogólne rozporządzenie w dużym stopniu 
jest mitologizowane. Generalnie mówi się o tym, że mamy nowy akt unijny. Wspomina 
się o wysokich karach pieniężnych, zupełnie nie zwracając uwagi, co ten akt unijny 
przynosi. Z perspektywy jednostek samorządu terytorialnego musimy zwrócić uwagę 
na to, że RODO w dużym stopniu przenosi takie wymogi, które dotąd miały charak- 
ter formalny i organizacyjny — takie bardzo biurokratyczne jak np. zgłaszanie zbiorów 
danych osobowych do rejestru prowadzonego przez GIODO - i rezygnują z tych wymo- 
gów, które obowiązują obecnie na gruncie ustawy o ochronie danych osobowych i wpro- 
wadza rozwiązania, które zapewniają dużo większą elastyczność i zapewniają realnie 
większą ochronę. A więc w mniejszym stopniu koncentrujemy się na tych wymogach 
dosyć biurokratycznych, jak właśnie wypełnienie zgłoszenia, prowadzenie określonej 
dokumentacji przetwarzania danych. Obecne przepisy regulują to bardzo ściśle, jakie 
elementy w tej dokumentacji mają być zawarte. 

Efekt jest taki, że dokumentacja staje się celem samym w sobie w praktyce jednostek 
samorządu terytorialnego. Nowe podejście odchodzi od tego. W dużo większym stop- 
niu musimy się skoncentrować na tym, jakie jest ryzyko w organizacji. Te wszystkie 
obowiązki dokumentacyjne, które też będą, w dużym stopniu mają pomóc jednostkom 
samorządu terytorialnego we właściwym zapewnieniu zgodności z przepisami o ochronie 
danych osobowych. I to jest ta istotna zmiana, którą niesie RODO. Z jednej więc strony 
jest większa elastyczność. Jeżeli właściwie zarządzamy danymi osobowymi — ja patrzę 
na to od razu z tej perspektywy zarządzania informacją — to RODO nie będzie niczym 
nowym. RODO będzie stanowiło problem we wszystkich tych jednostkach, również 
samorządu terytorialnego, w których dotąd podchodzono czysto formalnie do wymogów 
związanych z ochroną danych osobowych. Bo jeżeli realizacja wymogów opierała się tylko 
i wyłącznie na stworzeniu określonej dokumentacji na wypadek kontroli, to to nowe 
podejście będzie dużo trudniejsze, bo ono wymaga realnego wdrożenia w jednostkach 
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organizacyjnych. To ma przynieść... Te wymogi mają być bliższe życiu i realnym zagro- 
zeniom, ale jednak to jest pewne wyzwanie, bo to wymaga rzetelnego podejścia do tych 
wymogów. To jest ta istotna zmiana, jeżeli patrzymy na cały pakiet, który niosą przepisy 
o ochronie danych osobowych — przypomnijmy — przepisy, które będziemy od 25 maja 
stosowali bezpośrednio. 

Też trzeba pamiętać o tym, że wiele praw, które na nowo zostały ukształtowane 
bądź wprowadzone w RODO, które mają zastosowanie przede wszystkim w odniesieniu 
do sektora prywatnego, w odniesieniu do sektora publicznego, będą podlegały ograni- 
czeniom ze względu na to, że o przetwarzaniu danych przede wszystkim decydują prze- 
pisy prawa. I tutaj przypomnę, pan minister wspomniał o prawie do zapomnienia, które 
spędza sen z powiek również administratorom działającym w sektorze publicznym, ale 
musimy pamiętać, co to prawo oznacza w sektorze publicznym. To prawo — okazuje się 
— nie jest niczym nowym, bo to jest to, co mieliśmy dotąd w sytuacji, kiedy nie ma już 
podstawy prawnej, żeby przetwarzać dane. A więc np. zgodnie z przepisami, jeżeli admi- 
nistrator danych, jednostka samorządowa nie ma prawa dalej przechowywać określonej 
dokumentacji, to wtedy osoba ma prawo zażądać usunięcia tej dokumentacji. W tym 
sensie to nie jest rewolucja, to nie jest jakieś rewolucyjne podejście, wywracające dotych- 
czasowy model znany wszystkim samorządowcom. 

Z drugiej strony jednak pojawiają się problemy związane z tym, że obecne prawo 
dosyć szczegółowo regulowało kwestie bezpieczeństwa danych, kwestie techniczne 
i organizacyjne. Mamy dotąd obowiązujące rozporządzenie Ministra Spraw Wewnętrz- 
nych i Administracji, w którym określa się szczegółowo, jak ma wyglądać dokumentacja 
przetwarzania danych — bardzo szczegółowo — ale również określa się wymogi dotyczące 
funkcjonalności systemów informatycznych. Proszę sobie wyobrazić, że w polskim pra- 
wie mamy wymogi dotyczące składni hasła i częstotliwości jego zmiany pomimo tego, 
że standardy bezpieczeństwa w tym zakresie uległy zmianie, ale my mamy je na sztywno. 
Oczywiście to już jest nieadekwatny model, ale z drugiej strony on jest prostszy we wdro- 
zeniu w tym sensie, że mamy przepisy prawa i tak jak mamy check-listę — wdrażamy to, 
co jest w określonym rozporządzeniu. RODO nie dopuszcza już przyjmowania takich 
aktów prawnych, tak żeby ustawodawca określał szczegółowe wymogi techniczne i chyba 
bardzo dobrze, bo w tym zakresie powinniśmy mieć większą elastyczność. Ale — i tutaj 
mamy bardzo wiele sygnałów szczególnie z małych gmin — to jest też problematyczne, 
bo wszędzie tam, gdzie nie mamy tego wsparcia fachowego, pojawia się problem: No, 
dobrze, co stanie się teraz z tym standardem, jeżeli nie ma teraz takiej bardzo prostej 
check-listy? 

W ten obszar wchodzi nowy instrument, nieznany, tzn. nierozwijany dotąd w polskim 
prawie. To są kodeksy postępowań, które również mogą odegrać bardzo dużą rolę wła- 
śnie w tym obszarze w odniesieniu do jednostek samorządu terytorialnego. I tutaj myślę 
np. o szkołach, myślę o ośrodkach pomocy społecznej, które bardzo podobnie funkcjo- 
nują we wszystkich jednostkach samorządu terytorialnego, w przypadku których orga- 
nizacje zrzeszające, gminy i powiaty, mogłyby przygotować kodeks, który np. wprowa- 
dzałby pewne standardy, wspólne standardy. To jest pewna nowość. My to promujemy 
już od maja 2016 r. Na razie jesteśmy na takim etapie promowania tego rozwiązania, ale 
to się spotyka z dosyć dużym zainteresowaniem, bo to jest rozwiązanie, gdzie możemy 
również w odniesieniu do jednostek samorządu terytorialnego zapewnić elastyczność 
i dostosować, dać pewne wzorce, które będą odpowiednie do specyfiki działania tych 
jednostek. Dodam tylko, że takie kodeksy będą zatwierdzane przez GIODO, więc też 
będziemy mieli pewność, ze one spełniają wymogi określone w RODO. 

I teraz — już na koniec — jeśli chodzi o przygotowanie, GIODO stara się szerzyć wie- 
dzę o nowych obowiązkach w bardzo różnych formach. Dla nas taką podstawową grupą 
jest grupa administratorów bezpieczeństwa informacji, czyli takich osób wyznaczonych 
w jednostkach (w tej chwili dobrowolnie), które nadzorują przetwarzanie danych. Te 
osoby staną się w świetle nowych przepisów inspektorami ochrony danych. Prowadzimy 
szkolenia sektorowe dla tych osób. Mieliśmy szkolenie dla administratorów bezpieczeń- 
stwa informacji z szeroko rozumianego sektora pomocy społecznej, gdzie musimy pamię- 
tać, jaki charakter danych, jak wrażliwych, tam się pojawia. W tym miesiącu organizu- 
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jemy szkolenie dla administratorów bezpieczeństwa informacji ze szkół. Jest to kolejny 
obszar, który wywołuje bardzo dużo... który wymaga podjęcia odpowiednich działań. 
Jednocześnie generalny inspektor jest jednym z konsorcjantów projektu finansowanego 
z funduszy Komisji Europejskiej (takiego międzynarodowego), w ramach którego już 
niedługo będziemy szkolili administratorów bezpieczeństwa informacji sektora publicz- 
nego po to, żeby dać narzędzia umożliwiające wdrożenie tych przepisów. 

Jeszcze kolejna rzecz. Generalny inspektor ma pełną świadomość, że ochrona danych 
osobowych to nie jest tylko Warszawa — to jest właśnie samorząd. Staramy się być w tym 
samorządzie. Ja może tylko przypomnę takie inicjatywy skierowane zarówno do samo- 
rządu, jak i mieszkańców, w ramach których uczestniczymy w szkoleniach i konferen- 
cjach, ale również wszędzie tam, gdzie się pojawiamy, organizujemy dni otwarte tak, 
żeby mieszkańcy przedsiębiorcy, ale też zwykli obywatele, mogli poradzić się w sprawie 
nowych przepisów. To spotyka się z bardzo dużym zainteresowaniem. Ja tylko wspo- 
mnę, bo jeździmy w bardzo różne miejsca: Siedlce, Rzeszów, Białystok, Lublin, Kato- 
wice, Dąbrowa Górnicza. Myślimy o województwach na północy Polski i na zachodzie. 
Będziemy podejmować takie działania jeszcze przed 25 maja. To są tylko przykłady, jak 
pomóc, żebyśmy 25 maja nie byli zaskoczeni, bo to jest największy problem, że 25 maja 
to jest dzień, w którym musimy spełniać nowe wymogi. Okres przejściowy zaczął się 6 
maja 2016 r. Dziękuję bardzo. 


Przewodniczący poseł Andrzej Maciejewski (Kukiz15): 
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Dziękuję. Czy są jeszcze pytania? 

Jeżeli nie ma, to dziękuję panu ministrowi i dziękuję za informację. Dziękuję przy- 
byłym gościom. 

Zamykam posiedzenie Komisji. 


m.S.S. 


